AbcLinuxu:/ Poradna / Linuxová poradna / WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Štítky: ASUS, bridge, DHCP, Internet, mikrotik, OpenWrt, server, sítě, VLAN, zabezpečení

Dotaz: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

24.12.2019 20:49 Deryl | skóre: 11
WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Přečteno: 1052×

Odpovědět | Admin

Ahoj,

lze provozovat oddělenou WiFi pro hosty (s přístupem pouze na internet) na stejné podsíti jako zbytek (private WiFi + LAN) s tím, že oddělení hostů bych provedl pouze pomocí VLAN?

Router: Mikrotik RB (DHCP server přidělující všem adresy 10.0.0.1/24, DNS),
Switch: TP Link TL-SG108E (VLAN podporuje),
WiFi: Asus RT-N56U s OpenWRT v bridge režimu.

Postupně studuji možnosti a zatím mi není jasné, zda je toto oddělení stejného subnetu pomocí VLAN vůbec realizovatelné - návody obvykle popisují vytvoření samostatné podsítě pro Guest AP (extra DHCP server na RT-N56U pro Guest SSID) a přiřazení VLAN pro zabezpečení cesty mezi AP a routerem.

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

24.12.2019 20:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Takové dělení nedává smysl. VLAN slouží k tomu, když máte dvě oddělené IP sítě, ale nestačí vám oddělení na úrovni IP adres, ale chcete ty dvě sítě oddělit více – stejně, jako kdyby byly oddělené fyzicky. Pokud zařízení ve WiFi pro hosty nemají mít možnost komunikovat se zařízeními ve vaší domácí síti, nedává smysl dávat je do stejné IP sítě.

24.12.2019 23:34 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Obvykle je nejlepší si připravit znalost toho, kde co má být pokryto, jakými zdroji (třeba signálu či "dostupnosti") a na základě toho rozhodovat, jak to pak udělam.
Takže i vědět, kde v jaké místnosti mám jakou potřebu, co musím poskytnout či použít. Udělat si topologii takovou, aby ji šlo rozumně spravovat i škálovat.
Je hezké, že znáte vlany, víte, kde mají být, mezi čím, aby dávaly smysl?
Sám bych hosty dal na jiné ssid, jiný rozsah a omezit přes ACL. Což skutečně obnáší další dhcp server na jiném interfejsu.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

25.12.2019 09:36 Deryl | skóre: 11
Rozbalit Rozbalit vše Re: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Potíž je, že požadavky se mění v čase.

Doposud jsem měl Asus AP Private WLAN v bridge mode - tedy klienti ve stejné podsíti jako zbytek LAN.
Pro Guest WLAN jsem vytvořil nové SSID + DHCP na jiné podsíti. Plus nějaké routes a firewall na povolení přístupu jen k routeru a do internetu.

To fungovalo. Akorát to není nikde moc zdokumentováno (mix bridge mode pro jedno SSID a router pro druhé SSID na jednom OpenWRT).

Výhledově to však vypadá, že budu muset pokrýt WiFi zbytek rodinného domu. Nejspíše dám do jiné části domu další APéčko (na kabel), nejspíše Unifi UAP.

P.S. Replikovat výše uvedené řešení by asi šlo, ale už mne OpenWRT moc nebaví (můj RT-N56U má nestabilní rádio, v OpenWRT HW guide vlastně žádné doporučení pro aktuálně prodávaný hw není) a uzavřené firmwary to takto nastavit obvykle neumějí.

Takže momentálně to vidím tak, že APéčka budou v bridge režimu jak pro Private WLAN (VLAN1) tak i pro Guest WLAN (VLAN10) a Mikrotik obslouží obě podsítě jako router i jako DHCP server. Případně koupím jiný router a Mikrotik nechám být (ISP stejně moc rád nevidí mé zásahy do jejich zařízení).

25.12.2019 18:17 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Osobně bych provoz mezi (drátovou) LAN a privátní WiFi routoval. Fyzicky jsou to dvě různé sítě, jiná je i úroveň bezpečnosti. Tím pádem byste i na WiFi AP měl jenom režim router. Tím je problém vyřešen, ne?

25.12.2019 20:48 Deryl | skóre: 11
Rozbalit Rozbalit vše Re: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Jak by to pak fungovalo s více APéčky v režimu routeru?

Rád bych seamless roaming, není lepší, když klientovi při přechodu mezi AP (se stejným SSID) zůstává stejná IP? (Možná jen vidím problém, kde není.)

26.12.2019 11:49 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Předpokládám, že vám jde o více AP v jedné síti (např. privátní WiFi), ne o roaming mezi privátní a hostovskou WiFi. Pokud chcete skutečný roaming, tj. přechod mezi AP bez výpadku spojení, potřebujete AP, která to podporují. Ta pak musí být propojená ve stejné síti, ale nemusí být v bridge. Pokud chcete řešit v domácích podmínkách to, aby se zařízení odpojilo od jedné WiFi sítě a připojilo k jiné (bez skutečného roamingu), stejnou IP bych neřešil, ničemu to nepomůže.

26.12.2019 14:40 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: WLAN: private a guest na stejné podsíti, ale oddělené VLAN?

Já na wifi používám Mikrotik a CAPSMan. Ten umožňuje mít oddělené wifi sítě a veškerá spojení táhne přes jeden segment až k hlavnímu routeru. Mikrotik si mezi AP a hlavním routerem dělá takový tunel a spojení pak rozděluje až na tom routeru. Nemusí pak být vlany nastavený v rámci celé sítě, ale stačí mít na hlavním routeru definované dva bridge(dva segmenty+dhcp servery) + vhodný fw a je hotovo.

V případě tvého nasazení (heterogenní prostředí) ale bude nejlepší vše řešit vlanam a dvěma segmentama + vhodný fw mezi nimi na hlavním routeru.
Zdar Max

Měl jsem sen ... :(

Založit nové vlákno • Nahoru

Tiskni Sdílej: